Новая хакерская группа APT под названием "AtlasCross" атакует организации с помощью фишинговых заманух, выдавая себя за Американский Красный Крест, для доставки вредоносных программ с бэкдором.
Компания NSFocus, специализирующаяся на кибербезопасности, обнаружила два ранее не документированных трояна - DangerAds и AtlasAgent, связанных с атаками новой APT-группы.
По данным NSFocus, хакеры AtlasCross отличаются изощренностью и уклончивостью, что не позволяет исследователям определить их происхождение.
"После глубокого изучения процесса атаки специалисты NSFOCUS Security Labs обнаружили, что этот APT-злоумышленник значительно отличается от известных по потоку выполнения, стеку технологий атаки, инструментам атаки, деталям реализации, целям атаки, тенденции поведения и другим основным показателям атрибуции", - поясняет NSFocus.
"Также заслуживает внимания технический уровень и осторожность, проявленная этим злоумышленником в ходе данной активности".
Цепочка атак AtlasCross
Атаки AtlassCross начинаются с фишингового сообщения, выдаваемого за письмо от Американского Красного Креста, в котором получателя просят принять участие в "акции по сбору крови в сентябре 2023 года".
Эти письма содержат вложение в виде документа Word (.docm) с макросами, в котором жертве предлагается нажать кнопку "Enable Content" для просмотра скрытого содержимого.
Однако это приводит к запуску вредоносных макросов, которые заражают устройство Windows вредоносными программами DangerAds и AtlasAgent.
Сначала макросы распаковывают ZIP-архив на устройстве Windows, в который помещается файл с именем KB4495667.pkg, представляющий собой системный профайлер и загрузчик вредоносного ПО DangerAds. Создается запланированная задача "Обновления Microsoft Office", которая запускает DangerAds ежедневно в течение трех дней.
DangerAds работает как загрузчик, оценивая окружение хоста и запуская встроенный шелл-код, если в имени пользователя или имени домена системы встречаются определенные строки, что является примером узкой направленности AtlasCross.
В конечном итоге DangerAds загружает файл x64.dll, который представляет собой троян AtlasAgent - конечную полезную нагрузку атаки.
Подробности об AtlasAgent
AtlasAgent - это пользовательский троян на языке C++, основными функциями которого являются извлечение информации о хосте и процессе, предотвращение запуска нескольких программ, выполнение дополнительного шелл-кода на скомпрометированной машине и загрузка файлов с C2-серверов злоумышленника.
При первом запуске вредоносная программа отправляет на серверы злоумышленников информацию, включая имя локального компьютера, информацию о сетевом адаптере, локальный IP-адрес, информацию о сетевой карте, архитектуру и версию ОС, а также список запущенных процессов.
В ответ серверы злоумышленника передают AtlasAgent команды, которые могут выполняться как в новых потоках, так и в рамках одного из существующих процессов, что затрудняет обнаружение и остановку средствами защиты.
Кроме того, AtlasAgent поддерживает следующие команды:
- Получение информации о системе компьютера
- Reverse Shell
- Получение данных из CnC и сохранение их в указанном файле
- Поле отладки
- Приостановить работу программы на определенное время с помощью функции Sleep
- Получение информации о процессе
- Внедрить шеллкод в новый поток указанного процесса
- Реализуется параметрическая функция.
- Запустить шеллкод напрямую; или создать поток для запуска шеллкода в данном процессе
- Выйти из обращения
- Внедрить шеллкод или команду в поток указанного процесса
- Создать мьютекс
- Выйти из цикла
Несмотря на то, что отчет NSFocus является первым подробным описанием новой хакерской группы, AtlasCross остается практически неизвестной угрозой, действующей по неясным мотивам и с нечетким целевым охватом.
Избирательное нацеливание, создание троянов и загрузчиков вредоносного ПО, а также предпочтение скрытных методов заражения перед эффективными позволили угрозам действовать незамеченными в течение неопределенного времени.
По новым правилам Дзена свежие материалы показываются в первую очередь подписчикам, которые реагируют на публикации. Поэтому не забывайте подписаться, поставить лайк и оставить комментарий, так вы будете первым узнавать о всех новых статьях на нашем канале!
